SSL證書的工作機制

近年來，網絡安全對于互聯網的發展越來越重要。迄今，HTTP明文協議紛紛轉向HTTPS加密協議，因為HTTPS中的SSL證書是互聯網最簡單最快捷的網絡安全解決方案。SSL證書中的SSL是指安全套接字層（secure soket layer），可對客戶端與服務端之間的信息進行加密，確保兩者之間的信息安全。

當用戶通過瀏覽器訪問已部署SSL證書的網站時，瀏覽器會自動識別SSL證書的類型，然后SSL證書就會為WEB服務端和瀏覽器搭建安全的鏈接（會話）。這個過程被稱為“SSL握手”，SSL握手是瞬間發生，用戶是無法查看的，也無需用戶干預。

SSL證書的工作涉及三個密鑰，分別是：公共密鑰、私人密鑰和會話密鑰。其中公鑰加密的數據只能用匹配的私鑰才能解密，反之亦然。公鑰和私鑰都是配對存在，我們也稱其為非對稱秘鑰對。

一般情況，使用私鑰和公鑰對真實進行加密解密需要消耗較大的進程，因此在SSL握手期間會用它來創建對稱會話密鑰。建立安全連接后，會話密鑰用于加密所有的傳輸數據，因為對稱秘鑰加密數據的效率要遠遠高于非對稱秘鑰。

SSL證書的功能

SSL證書具有2個重要功能

1）SSL加密，允許用戶安全地通過互聯網傳輸數據

2）身份驗證，驗證服務器是否安全合法。

服務器瀏覽器通信 – 了解SSL證書的工作原理

當用戶訪問SSL安全網站時，

瀏覽器嘗試連接該SSL加密網站。

然后瀏覽器要求Web服務器識別自己。

為了識別，服務器將SSL證書的副本發送到瀏覽器。

現在瀏覽器分析證書并驗證是否信任它。

如果瀏覽器信任該證書，則會向服務器發送消息

之后，啟動SSL加密會話，服務器會發回一個數字簽名確認給瀏覽器。

瀏覽器和服務器之間共享的數據正在加密，并出現HTTPS以及相關的安全標識。

如何啟用HTTPS加密？

獲取SSL證書：

首先，啟用HTTPS加密必須具備SSL證書。SSL證書的類型有三種（1）域驗證（2）組織驗證（3）擴展驗證。服務器用戶可根據自身需求向數字證書頒發機構（CA）申請合適的SSL證書類型。

生成CSR和私鑰：選定SSL證書類型后，下一步就是生成CSR和私鑰。CSR是指證書簽名請求，可通過CA機構提供的CSR工具或服務器管理工具中的CSR工具生成。在CSR生成過程中需要填寫正確的信息，就可獲得編碼（加密）格式的CSR文件和私鑰。然后將CSR包含了服務器信息和單位信息，提交給CA機構。而私鑰保存在服務器或本地驅動器上的安全位置。

域名驗證：CSR和私鑰生成后，證書將要求申請人提交多個相關文件進行驗證。一般情況下域名驗證，驗證過程將通過電子郵件或上傳文件來檢查域名注冊商的信息來完成。

組織驗證（OV），擴展驗證（EV）和代碼簽名證書：相關的業務文檔驗證是強制性的。申請這些證書時，用戶需要提交數字證書頒發機構要求的文檔。核實后，如果文件符合CA的要求，則可獲取證書。

注意：CA所需的文檔可能會從一個權限更改為另一個權限。

SSL安裝：申請的相關資料被CA機構驗證無誤后，CA將會為申請者頒發相關的SSL證書。申請者可根據服務器系統類型安裝SSL證書。本站也提供向SSL證書服務器安裝指南，詳情請查看SSL證書部署指南

當服務器正確安裝SSL證書后，網站就可啟動HTTPS。當訪問者通過瀏覽器訪問SSL加密網站時，就會與WEB服務器建立安全鏈接。

如何在瀏覽器中查找網站已部署SSL證書的標識？

域驗證SSL（DV）證書  – 使用DV SSL證書保護的網站將只顯示帶綠色鎖定的HTTPS。

組織驗證SSL（OV）證書  – 使用OV SSL證書進行安全保護的SSL證書將顯示帶有綠色鎖定的HTTPS，并在網站印章中顯示商業信息。

擴展驗證SSL （EV）證書 – 使用EV SSL證書的網站將顯示HTTPS，綠色地址欄以及URL中的組織名稱，并且商業信息也將顯示在網站印章中。